Ultime privacy Covid-19: quanti trattamenti illegittimi di dati!

Pagina creata da Roberto Gori
 
CONTINUA A LEGGERE
Tribunale Bologna 24.07.2007, n.7770 - ISSN 2239-7752
                                           Direttore responsabile: Antonio Zama

  Ultime privacy Covid-19: quanti trattamenti illegittimi
                         di dati!
                                         02 Febbraio 2021
                                  Elena Gambino, Roberto Louhichi

Panorama italiano
Garante per la protezione dei dati personali
Dopo il blocco a TikTok, aperto fascicolo su Facebook e Instagram

   A seguito del tragico caso della bimba di 10 anni di Palermo –
   morta nel tentativo di emulare un trend nato sul social TikTok –
   il Garante, oltre ad aver disposto nei confronti del social il
   blocco immediato dell’uso dei dati degli utenti per i quali non sia
   stata accertata con sicurezza l’età anagrafica, ha aperto un
   fascicolo su Facebook e Instagram. Dato infatti che la bambina
   aveva diversi profili su questi altri due social, l’Autorità vuole
   comprendere come sia stato possibile per un soggetto di quell’età
   iscriversi a tali piattaforme, domandando dunque ai titolari di
   queste ultime di fornire precise indicazioni sulle modalità di
   iscrizione ai due social e sulle verifiche dell’età dell’utente
   adottate per controllare il rispetto dell’età minima di iscrizione.
   [27/01/21]
Leggi il comunicato.

Garante per la protezione dei dati personali
Sanzionate Roma Capitale e Miropass S.r.l. per il trattamento dei dati di “TuPassi”
Il Garante ha sanzionato Roma Capitale per 500.000 euro a causa dell’illecito trattamento di dati personali
di utenti e dipendenti, effettuato attraverso il sistema di prenotazione degli appuntamenti “TuPassi”. Fra le
violazioni principali, l’Autorità ha segnalato l’incompletezza dell’informativa resa agli interessati e
l’assenza di un rapporto contrattuale con Miropass S.r.l., società fornitrice del sistema. Quest’ultima, con
differente provvedimento, è stata invece sanzionata per 40.000€ per i trattamenti effettuati in qualità di
autonomo titolare, in particolare, con riguardo alla prenotazione di servizi sanitari da parte degli utenti e
alla manutenzione del sistema per conto dei clienti, nei casi in cui tale attività comportasse il trattamento di
dati personali di utenti e dipendenti. [25/01/21]
Leggi l’ordinanza Roma Capitale e l’ordinanza Miropass Sr.l.

Dal mondo
Dipartimento di giustizia USA
Transazione con Epsilon per 150 milioni di dollari per l’aver venduto illegittimamente dati personali
dei consumatori
La società americana Epsilon, una dei principali player nel mondo del marketing, ha raggiunto un accordo
transattivo per 150 milioni di dollari col Dipartimento di giustizia americano. La condotta contestata alla
società riguardava la profilazione illegittima dei consumatori, al fine di individuarne le tendenze di
consumo e poi passare alla successiva vendita dei modelli profilati ad imprese terze che, mediante
schemi fraudolenti, sponsorizzavano così i propri prodotti a tali consumatori profilati. Dei 150
milioni oggetto dell’accordo, 127 saranno destinati a compensare i consumatori vittime del trattamento
illegittimo dei loro dati. [28/01/21]
Leggi il comunicato.

NOYB (None of Your Business)
Il Garante di Amburgo ordina la cancellazione del profilo biometrico di un cittadino europeo dal
database di una società americana
A seguito del reclamo di un cittadino europeo – assistito dai legali dell’organizzazione non profit NOYB a
tutela dei dati personali – il Garante di Amburgo ha ordinato alla società americana Clearview AI’s di
cancellare il profilo biometrico del reclamante, ricostruito dalle immagini del cittadino disponibili in rete.
Pur accogliendo con favore la decisione, l’organizzazione ne sottolinea il forte limite di non aver
ordinato la cancellazione di tutti i profili biometrici di cittadini europei, bensì solamente del
reclamante. Per tale motivo, è suggerito a ogni cittadino dell’Unione di esercitare il proprio diritto ad
ottenere copia dei dati e, successivamente, il diritto di cancellazione. [28/01/21]
Leggi la notizia.

NOYB (None of Your Business)
Il GDPR è una norma senza Autorità?
L’organizzazione non profit NOYB – attiva nel ramo della protezione dei dati personali – ha avanzato
ricorso contro due decisioni dell’Autorità per la protezione dei dati del Lussemburgo riguardanti il
trattamento dei dati da parte di due società americane. L’Autorità infatti, pur statuendo circa
l’applicazione del GDPR ai due titolari statunitensi, ha respinto il reclamo avanzato da un
interessato poiché, essendo privi di un rappresentante nell’Unione, il Garante non avrebbe potuto
compiere un effettivo enforcement della decisione contro i due titolari. L’organizzazione lamenta che,
ove questo indirizzo trovasse conferma, le garanzie del GDPR verrebbero ad essere lettera morta in tutti i
casi simili. [25/01/21]
Leggi la notizia.

NOYB (None of Your Business)
Reclamo al Garante Europeo contro il Parlamento Europeo
L’organizzazione non profit NOYB ha avanzato un reclamo contro il Parlamento Europeo al Garante
Europeo per il trattamento dei dati personali di sei parlamentari europei su un sito interno del Parlamento
UE dedicato ai test Corona Virus su tutti i membri ed impiegati dell’Istituzione. L’organizzazione lamenta
un’illiceità del trattamento dovuta ad un illegittimo trasferimento di dati personali verso gli Stati Uniti e ad
un’informativa cookies ingannevole ed incompleta. Il caso, concernente aspetti fondamentali della materia
data protection, potrebbe potenzialmente arrivare fino in Corte di Giustizia Europea. [22/01/21]
Leggi il comunicato.

EDPB (Comitato europeo per la protezione dei dati)
Lettera alla Commissione UE sulla necessità di emendare la Direttiva PNR
Il Comitato ha inviato una lettera alla Commissione UE domandando di emendare la direttiva PNR –
avente ad oggetto il trattamento del codice di identificazione dei passeggeri ai fini di prevenzione e
accertamento di reati di terrorismo e reati gravi – conformemente alla disciplina data protection. Il
Comitato sottolinea come alcune disposizioni della direttiva, quali quelle relative al lungo ed
indiscriminato periodo di conservazione dei dati e alla possibilità di accesso agli stessi anche una volta
esaurita la finalità del trattamento, siano in chiara violazione del GDPR e degli orientamenti cristallizzati
nella giurisprudenza della Corte di Giustizia. [22/01/21]
Leggi la lettera.

Autorità garanti estere
Autorité de protection des données (Autorità garante belga per la protezione dei dati)
Pubblicate raccomandazioni sulle tecniche di eliminazione di dati personali
Il Garante belga ha pubblicato delle raccomandazioni sulle tecniche per l’eliminazione sicura dei dati
personali dai vari supporti informatici (CD, chiavette USB, floppy disk ecc.). La guida è un utile
strumento pratico a sostegno di titolari e responsabili del trattamento relativamente ad un tema
molto spesso trascurato, ovverosia quello del data wiping. Merito delle raccomandazioni è quello di
fornire degli esempi di programmi da potersi utilizzare per l’eliminazione dei dati personali (vedi il punto
108). [27/01/21]
Leggi la guida.
ICO (Autorità inglese per la protezione dei dati)
Sanzioni per 480.000 euro a quattro società per marketing telefonico illegittimo
Il Garante inglese ha sanzionato quattro diverse società per aver compiuto attività di marketing telefonico
illegittimo. Nello specifico, le società hanno compiuto quasi 2,5 milioni di telefonate a numeri registrati nel
TPS, corrispondente pressappoco al registro delle opposizioni italiano. L’attività delle società ha così
portato ICO a ricevere circa 250 reclami da parte degli interessati. [27/01/21]
Leggi la notizia.

CNIL (Autorità Garante francese per la protezione dei dati)
“Credential stuffing”: la CNIL sanziona un titolare del trattamento e il suo subappaltatore
La della CNIL ha recentemente sanzionato per 150.000 euro e 75.000 euro un responsabile del trattamento
e il suo subappaltatore per non aver adottato misure soddisfacenti per affrontare gli attacchi di hacker
volti a rubare le credenziali (nome e password) di accesso degli account di singoli utenti sul sito web
del responsabile del trattamento. [27/01/2021]
Leggi il comunicato.

CNIL (Autorità Garante francese per la protezione dei dati)
La CNIL pubblica il suo secondo parere sulle condizioni per l’attuazione delle piattaforme di servizi
e informazione sul Covid-19
Per combattere l’epidemia da Covid-19, il governo ha creato SI-DEP e Contact Covid, ha distribuito
TousAntiCovid e implementato il sistema informativo sui vaccini Covid. La CNIL effettua una valutazione
intermedia di questi sistemi, alla luce dei pareri espressi e dei 25 controlli effettuati. [21/01/2021]
Leggi il comunicato.

Datatilsynet (Autorità garante norvegese per la protezione dei dati)
Notificata a Grindr l’intenzione di irrogare una sanzione per 10 milioni di euro
Il Garante norvegese ha notificato a Grindr – popolare social network per incontri gay – l’intenzione di
irrogare una sanzione da 10 milioni di euro per una serie di violazioni del Regolamento. In particolare,
l’Autorità ha rimarcato l’invalidità della raccolta del consenso raccolto dal social network. Ove fosse
confermata, la sanzione sarebbe pari al 10% del fatturato in Norvegia del titolare. A questo punto, la
società avrà la possibilità di presentare le proprie osservazioni entro il 15 febbraio 2021. [26/01/21]
Leggi il comunicato.

Datatilsynet (Autorità garante danese per la protezione dei dati)
Indagine sulla condivisione dei dati sanitari dei pazienti via WhatsApp
Il Garante danese ha istruito una procedura riguardante il trattamento dei dati personali da parte del
personale sanitario di Medicals Nordic. Grazie ad una notizia rimbalzata sui tabloid danesi, l’Autorità è
venuta a conoscenza che il personale sanitario di tale centro medico condivideva internamente i dati dei
pazienti risultati positivi al Covid-19. Il trattamento, sottolinea il Garante, se confermato integrerebbe una
violazione di dati personali. Dal canto proprio, il centro medico sottolinea come la procedura, messa in atto
per ragioni di celerità, prevedesse l’obbligo per il personale di cancellazione dei dati. [25/01/21]
Leggi il comunicato.
PDPC (Autorità garante di Singapore per la protezione dei dati)
Pubblicato modello di clausole contrattuali per il trasferimento transfrontalieri di dati
Il Garante di Singapore ha elaborato un modello di clausole contrattuali da potersi utilizzare per il
trasferimento transfrontaliero di dati. Le clausole ricalcano la stessa struttura di quelle adottate al termine
dell’anno passato dalla Commissione Europea, sia nei rapporti tra titolare e titolare, nonché nei rapporti tra
titolare e responsabile. L’obiettivo dell’Autorità è ovviamente quello di facilitare le imprese
nell’osservanza della normativa di settore relativa al trasferimento dei dati. [22/01/21]
Leggi il modello.

TAG: privacy, GDPR, dati personali, Covid-19

Avvertenza
La pubblicazione di contributi, approfondimenti, articoli e in genere di tutte le opere dottrinarie e di
commento (ivi comprese le news) presenti su Filodiritto è stata concessa (e richiesta) dai rispettivi autori,
titolari di tutti i diritti morali e patrimoniali ai sensi della legge sul diritto d'autore e sui diritti connessi
(Legge 633/1941). La riproduzione ed ogni altra forma di diffusione al pubblico delle predette opere
(anche in parte), in difetto di autorizzazione dell'autore, è punita a norma degli articoli 171, 171-bis, 171-
ter, 174-bis e 174-ter della menzionata Legge 633/1941. È consentito scaricare, prendere visione, estrarre
copia o stampare i documenti pubblicati su Filodiritto nella sezione Dottrina per ragioni esclusivamente
personali, a scopo informativo-culturale e non commerciale, esclusa ogni modifica o alterazione. Sono
parimenti consentite le citazioni a titolo di cronaca, studio, critica o recensione, purché accompagnate dal
nome dell'autore dell'articolo e dall'indicazione della fonte, ad esempio: Luca Martini, La discrezionalità
del sanitario nella qualificazione di reato perseguibile d'ufficio ai fini dell'obbligo di referto ex. art 365
cod. pen., in "Filodiritto" (https://www.filodiritto.com), con relativo collegamento ipertestuale. Se l'autore
non è altrimenti indicato i diritti sono di Inforomatica S.r.l. e la riproduzione è vietata senza il consenso
esplicito della stessa. È sempre gradita la comunicazione del testo, telematico o cartaceo, ove è avvenuta
la citazione.

                                Filodiritto(Filodiritto.com) un marchio di InFOROmatica S.r.l
Puoi anche leggere